Niedawno napotkaliśmy sytuację, w której wiele programów antywirusowych (Kaspersky, Quuttera, McAfee, Norton Safe Web, Bitdefender i kilka mniej znanych) zaczęło blokować naszą witrynę. Studium sytuacji pozwoliło mi zrozumieć, że niezwykle łatwo jest znaleźć się na liście blokowanych, wystarczy kilka skarg (nawet bez uzasadnienia). Opiszę problem bardziej szczegółowo dalej.
Problem jest dość poważny, ponieważ obecnie prawie każdy użytkownik ma zainstalowany program antywirusowy lub zaporę sieciową. Zablokowanie witryny przez duży program antywirusowy, taki jak Kaspersky, może spowodować, że witryna stanie się niedostępna dla dużej liczby użytkowników. Chciałbym zwrócić uwagę społeczeństwa na problem, gdyż otwiera on ogromne pole do stosowania brudnych metod walki z konkurencją.
Nie będę podawać linku do samej strony ani wskazywać firmy, żeby nie zostało to odebrane jako swego rodzaju PR. Zwrócę tylko uwagę, że strona działa zgodnie z prawem, firma posiada rejestrację handlową, wszystkie dane są podane na stronie.
Niedawno otrzymaliśmy skargi od klientów, że nasza witryna została zablokowana przez program antywirusowy Kaspersky jako witryna phishingowa. Wielokrotne kontrole z naszej strony nie wykazały żadnych problemów na stronie. Za pośrednictwem formularza na stronie internetowej Kaspersky wysłałem zgłoszenie dotyczące fałszywego alarmu programu antywirusowego. Efektem była następująca odpowiedź:
Sprawdziliśmy przesłany przez Ciebie link.
Informacje zawarte w linku stwarzają ryzyko utraty danych użytkownika, nie potwierdzono fałszywie pozytywnego wyniku.
Nie podano żadnego potwierdzenia, że witryna stwarza zagrożenie. W trakcie dalszych zapytań otrzymano następującą odpowiedź:
Sprawdziliśmy przesłany przez Ciebie link.
Domena ta została dodana do bazy w związku ze skargami użytkowników. Link zostanie wykluczony z baz antyphishingowych, jednak w przypadku powtarzających się skarg umożliwiony zostanie monitoring.
Stąd staje się jasne, że wystarczającym powodem zablokowania jest sam fakt obecności przynajmniej niektórych skarg. Prawdopodobnie strona jest blokowana, jeśli zgłoszono więcej niż określoną liczbę skarg i nie jest wymagane potwierdzenie reklamacji.
W naszym przypadku napastnicy przesłali szereg skarg. Oraz do naszego DC, wielu programów antywirusowych i usług takich jak phishtank. W przypadku phishtank skargi zawierały jedynie link do witryny i informację, że dana witryna jest witryną służącą do wyłudzania informacji. I tyle, nie było żadnego potwierdzenia.
Okazuje się, że możesz zablokować niechciane strony za pomocą prostego spamu reklamacyjnego. Mogą nawet istnieć serwisy świadczące takie usługi. Jeśli ich tam nie ma, wkrótce się wyraźnie pojawią, biorąc pod uwagę łatwość wejścia witryny do baz danych niektórych programów antywirusowych.
Chciałbym usłyszeć komentarze przedstawicieli firmy Kaspersky. Chciałbym również usłyszeć komentarze od tych, którzy sami napotkali taki problem i jak szybko został on rozwiązany. Być może ktoś doradzi prawne metody oddziaływania w takich sytuacjach. Dla nas sytuacja ta wiązała się ze stratami reputacyjnymi i finansowymi, nie mówiąc już o stracie czasu na rozwiązanie problemu.
Chciałbym zwrócić jak najwięcej uwagi na tę sytuację, ponieważ każda witryna jest zagrożona.
Dodatek.
W komentarzach podali link do ciekawego wpisu od HerrDirektora w tej kwestii. Zacytuję go
Powiem ci więcej – czy chcesz stworzyć problemy dla prawie każdej witryny (no, z wyjątkiem dużych, grubych i bardzo znanych) w 10 minut?
Witamy w Phishtanku.
Rejestrujemy 8-10 kont (potrzebujesz tylko e-maila do potwierdzenia), wybieramy witrynę, która Ci się podoba, dodajemy ją z jednego konta do bazy danych akwariów (aby utrudnić życie właścicielowi, możesz wstawić jakiś list reklamujący geja porno z krasnoludkami do formularza podczas dodawania).
Na pozostałych kontach głosujemy za phishingiem, dopóki nie napiszą do nas „To jest witryna phishingowa!”
Gotowy. Siedzimy i czekamy. Chociaż, aby utrwalić sukces, możesz dodać zarówno http://, jak i https:// oraz z ukośnikiem na końcu i bez ukośnika lub z dwoma ukośnikami. A jeśli naprawdę masz dużo czasu, możesz także dodać linki na stronie. Po co? Dlatego:Po 6-12 godzinach Avast podjeżdża i pobiera stamtąd dane. Po 24-48 godzinach dane rozprzestrzeniają się po wszelkiego rodzaju „programach antywirusowych” - Comodo, Bit Defender, clean mx, CRDF, CyRadar... Skąd pieprzony wirus Total zasysa dane.
Oczywiście NIKT nie sprawdza poprawności danych, nikogo to nie obchodzi.W rezultacie większość rozszerzeń „antywirusowych” do przeglądarek, bezpłatne programy antywirusowe i inne oprogramowanie zaczynają przeklinać określoną witrynę na różne sposoby, od czerwonych znaków po pełnoprawne strony informujące, że witryna jest strasznie niebezpieczna i udanie się tam jest jak śmierć.
Aby usunąć stajnie Augiasza, każdy z tych „programów antywirusowych” musi napisać do pomocy technicznej. Za KAŻDY link! Avast reaguje dość szybko, reszta głupio składa znany organ.
Ale nawet jeśli gwiazdy się wyrównają i możliwe będzie wyczyszczenie witryny z antywirusowych baz danych, wówczas suma wirusów „mega-zasobów” w ogóle się tym nie przejmuje. Nie ma Cię w bazie danych phishtank? Nieważne, kiedyś tam było, pokażemy, co to jest. Nie jesteś w bit obrońcy? To nie ma znaczenia, i tak pokażemy Ci, co to było.
W związku z tym każde oprogramowanie lub usługa skupiająca się na wirusie będzie pokazywała do końca czasu, że w witrynie wszystko jest złe. Możesz spędzić dużo czasu, systematycznie zagłębiając się w ten nędzny zasób, a może będziesz miał szczęście, jeśli się stamtąd wydostaniesz. Ale możesz nie mieć tyle szczęścia.
* Nawet dostawca Fortinet był jednym z blokujących witrynę. Nadal nie usunęliśmy tej witryny z niektórych list witryn phishingowych.
* To mój pierwszy post na Habré. Niestety, kiedyś byłem tylko czytelnikiem, jednak obecna sytuacja zmotywowała mnie do napisania posta.
Źródło: www.habr.com